重點(diǎn)關(guān)注
漏洞公告
惡意代碼
關(guān)于Apache Log4j2存在遠(yuǎn)程代碼執(zhí)行漏洞的安全公告
2021年12月10日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2021-95914)。攻擊者利用該漏洞,可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行代碼。目前,漏洞利用細(xì)節(jié)已公開,Apache官方已發(fā)布補(bǔ)丁修復(fù)該漏洞。CNVD建議受影響用戶立即更新至最新版本,同時(shí)采取防范性措施避免漏洞攻擊威脅。
一、漏洞情況分析 Apache Log4j是一個(gè)基于Java的日志記錄組件。Apache Log4j2是Log4j的升級(jí)版本,通過(guò)重寫Log4j引入了豐富的功能特性。該日志組件被廣泛應(yīng)用于業(yè)務(wù)系統(tǒng)開發(fā),用以記錄程序輸入輸出日志信息。
2021年11月24日,阿里云安全團(tuán)隊(duì)向Apache官方報(bào)告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞。由于Log4j2組件在處理程序日志記錄時(shí)存在JNDI注入缺陷,未經(jīng)授權(quán)的攻擊者利用該漏洞,可向目標(biāo)服務(wù)器發(fā)送精心構(gòu)造的惡意數(shù)據(jù),觸發(fā)Log4j2組件解析缺陷,實(shí)現(xiàn)目標(biāo)服務(wù)器的任意代碼執(zhí)行,獲得目標(biāo)服務(wù)器權(quán)限。
CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。
二、漏洞影響范圍 漏洞影響的產(chǎn)品版本包括:
Apache Log4j2 2.0 - 2.15.0-rc1
三、漏洞處置建議 目前,Apache官方已發(fā)布新版本完成漏洞修復(fù),CNVD建議用戶盡快進(jìn)行自查,并及時(shí)升級(jí)至最新版本:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
建議同時(shí)采用如下臨時(shí)措施進(jìn)行漏洞防范:
1)添加jvm啟動(dòng)參數(shù)-Dlog4j2.formatMsgNoLookups=true;
2)在應(yīng)用classpath下添加log4j2.component.properties配置文件,文件內(nèi)容為log4j2.formatMsgNoLookups=true;
3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;
4)部署使用第三方防火墻產(chǎn)品進(jìn)行安全防護(hù)。
建議使用如下相關(guān)應(yīng)用組件構(gòu)建網(wǎng)站的信息系統(tǒng)運(yùn)營(yíng)者進(jìn)行自查,如Apache Struts2、Apache Solr、Apache Druid、Apache Flink等,發(fā)現(xiàn)存在漏洞后及時(shí)按照上述建議進(jìn)行處置。
附:參考鏈接:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
感謝北京知道創(chuàng)宇信息技術(shù)股份有限公司、北京神州綠盟科技有限公司、杭州安恒信息技術(shù)股份有限公司、北京鴻騰智能科技有限公司和奇安信科技集團(tuán)股份有限公司為本報(bào)告提供的技術(shù)支持。